正确的策略配置
在这个虚拟的方案中,Woodgrove National Bank 已经配置了 DirectAccess,使 IPsec 策略要求提供包含 NAP 系统健康 OID 和客户端身份验证 OID 的客户端证书。Woodgrove 以强制模式使用 NAP(而不只是报告模式),这意味着将禁止不健康的客户端与健康的客户端通信。
最后,Woodgrove 配置了 DirectAccess IPsec 策略,使用两个基于证书的凭据:一个来自客户端计算机,一个来自用户。Woodgrove 按照上述建议选择了双证书配置,以便更好地利用其 PKI 投资,消除远程访问的静态密码并利用证书自动注册功能。
本示例的其余部分假定您具备相应的实践知识,了解 DirectAccess、NAP 和 IPsec 强制模式的工作原理。要深入了解这些技术,请参见以下资源:
DirectAccess 执行概述
网络访问保护简介
理解 NAP IPsec 强制
下面的报告解决方案利用了 DirectAccess 服务器上的 IPsec 的内置审核功能以及网络策略服务器 (NPS) 的健康注册机构 (HRA) 功能的审核功能。这些审核功能会在系统和安全事件日志中生成事件,我们将提取这些事件并进行报告。在制定此方法时,我们发现默认生成的是 HRA 事件,而 IPsec 事件可能需要明确启用。您可以在命令提示符窗口中使用以下命令来启用 IPsec 事件:
auditpol.exe /set /category:"Logon/Logoff" /subcategory:"IPsec Main Mode" /success:enable /failure:enable
auditpol.exe /set /category:"Logon/Logoff" /subcategory:"IPsec Quick Mode" /success:enable /failure:enable
auditpol.exe /set /category:"Logon/Logoff" /subcategory:"IPsec Extended Mode" /success:enable /failure:enable